首先,硬件上面要有投入,规模比较大的局域网,防火墙、三层交换机、上网行为管理都不能少。
我们注重客户提出的每个要求,我们充分考虑每一个细节,我们积极的做好网站设计、做网站服务,我们努力开拓更好的视野,通过不懈的努力,成都创新互联公司赢得了业内的良好声誉,这一切,也不断的激励着我们更好的服务客户。 主要业务:网站建设,网站制作,网站设计,小程序定制开发,网站开发,技术开发实力,DIV+CSS,PHP及ASP,ASP.Net,SQL数据库的技术开发工程师。
其次,要有行政手段,建立企业内部上网规范。
再次,还要有技术手段来进行保障,最佳方案是:
1. 内网权限管理用AD域。这样可以用组策略来做很多限制,避免随意安装软件导致局域网安全隐患。
2. 外网权限用防火墙、上网行为管理。工作时段进行上网限制,否则只要有1-2个人进行P2P下载、看网络视频,外网就基本上瘫痪了。
3. 没有上网行为管理硬件的话,也可以部署上网行为管理软件(比如“超级嗅探狗”、WFilter等)。可以通过旁路方式监控流量占用、上网行为、禁止下载等,并且和域控结合。
内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全。在我国IT市场中,安全厂商保持着旺盛的增长势头。运营商在内网安全方面的投资比例不如国外多,但依然保持着持续的增长态势。要提高内网的安全,可以使用的方法很多,本文将就此做一些探讨。 在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。
为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。
对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的;现今应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。 使用代理网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关,进而才能访问到Internet ,这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。
在代理服务器两端采用不同协议标准,也可以阻止外界非法访问的入侵。还有,代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。 防火墙的选择应该适当,对于微小型的企业网络,可从Norton Internet Security 、 PCcillin 、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。
而对于具有内部网络的企业来说,则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。 为了保障网络的安全,也可以利用网络操作系统所提供的保密措施。以Windows为例,进行用户名登录注册,设置登录密码,设置目录和文件访问权限和密码,以控制用户只能操作什么样的目录和文件,或设置用户级访问控制,以及通过主机访问Internet等。
同时,可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性,数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径,电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道,如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等,也可以采取相应的保密措施。
从攻击角度入手
计算机网络系统的安全威胁有很大一部分来自拒绝服务(DoS)攻击和计算机病毒攻击。为了保护网络安全,也可以从这几个方面进行。
对付“拒绝服务”攻击有效的方法,是只允许跟整个Web站台有关的网络流量进入,就可以预防此类的黑客攻击,尤其对于ICMP封包,包括ping指令等,应当进行阻绝处理。
通过安装非法入侵侦测系统,可以提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当窃取者入侵时可以立刻有效终止服务,以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问,规定具有IP地址的工作站对本地网络设备的访问权限,以防止从外界对网络设备配置的非法修改。 从病毒发展趋势来看,病毒已经由单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客、木马等多种攻击手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点:与Internet和Intranet更加紧密地结合,利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播;所有的病毒都具有混合型特征,集文件传染、蠕虫、木马、黑客程序的特点于一身,破坏性大大增强;因为其扩散极快,不再追求隐藏性,而更加注重欺骗性;利用系统漏洞将成为病毒有力的传播方式。
因此,在内网考虑防病毒时选择产品需要重点考虑以下几点:防杀毒方式需要全面地与互联网结合,不仅有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控,防止病毒入侵;产品应有完善的在线升级服务,使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;厂商能提供完整、即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地让用户了解到新病毒的特点和解决方案。 在现实中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例,先用“ finger远端主机名”找出主机上的用户账号,然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效,入侵者就会仔细地寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的文件 shadow或者passwd 。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理,如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。 以上九个方面仅是多种保障内网安全措施中的一部分,为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题。在安全的方式上,为了应付比以往更严峻的“安全”挑战,安全不应再仅仅停留于“堵”、“杀”或者“防”,应该以动态的方式积极主动应用来自安全的挑战,因而健全的内网安全管理制度及措施是保障内网安全必不可少的措施。
网络安全管理机构和制度
网络安全管理机构和规章制度是网络安全的组织与制度保障。网络安全管理的制度包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。建立健全网络安全管理机构和各项规章制度,需要做好以下几个方面。
1.完善管理机构和岗位责任制
计算机网络系统的安全涉及整个系统和机构的安全、效益及声誉。系统安全保密工作最好由单位主要领导负责,必要时设置专门机构,如安全管理中心SOC等,协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。所有领导机构、重要计算机系统的安全组织机构,包括安全审查机构、安全决策机构、安全管理机构,都要建立和健全各项规章制度。
完善专门的安全防范组织和人员。各单位须建立相应的计算机信息系统安全委员会、安全小组、安全员。安全组织成员应由主管领导、公安保卫、信息中心、人事、审计等部门的工作人员组成,必要时可聘请相关部门的专家组成。安全组织也可成立专门的独立、认证机构。对安全组织的成立、成员的变动等应定期向公安计算机安全监察部门报告。对计算机信息系统中发生的案件,应当在规定时间内向当地区(县)级及以上公安机关报告,并受公安机关对计算机有害数据防治工作的监督、检查和指导。
制定各类人员的岗位责任制,严格纪律、管理和分工的原则,不准串岗、兼岗,严禁程序设计师同时兼任系统操作员,严格禁止系统管理员、终端操作员和系统设计人员混岗。
专职安全管理人员具体负责本系统区域内安全策略的实施,保证安全策略的长期有效:负责软硬件的安装维护、日常操作监视,应急条件下安全措施的恢复和风险分析等;负责整个系统的安全,对整个系统的授权、修改、特权、口令、违章报告、报警记录处理、控制台日志审阅负责,遇到重大问题不能解决时要及时向主管领导报告。
安全审计人员监视系统运行情况,收集对系统资源的各种非法访问事件,并对非法事件进行记录、分析和处理。必要时将审计事件及时上报主管部门。
保安人员负责非技术性常规安全工作,如系统周边的警卫、办公安全、出入门验证等。
2.健全安全管理规章制度
建立健全完善的安全管理规章制度,并认真贯彻落实非常重要。常用的网络安全管理规章制度包括以下7个方面:
1)系统运行维护管理制度。包括设备管理维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门卫管理值班制度、各种操作规程及守则、各种行政领导部门的定期检查或监督制度。机要重地的机房应规定双人进出及不准单人在机房操作计算机的制度。机房门加双锁,保证两把钥匙同时使用才能打开机房。信息处理机要专机专用,不允许兼作其他用途。终端操作员因故离开终端必须退出登录画面,避免其他人员非法使用。
2)计算机处理控制管理制度。包括编制及控制数据处理流程、程序软件和数据的管理、拷贝移植和存储介质的管理,文件档案日志的标准化和通信网络系统的管理。
3)文档资料管理。各种凭证、单据、账簿、报表和文字资科,必须妥善保管和严格控制;交叉复核记账;各类人员所掌握的资料要与其职责一致,如终端操作员只能阅读终端操作规程、手册,只有系统管理员才能使用系统手册。
4)操作及管理人员的管理制度。建立健全各种相关人员的管理制度,主要包括:
① 指定具体使用和操作的计算机或服务器,明确工作职责、权限和范围;
② 程序员、系统管理员、操作员岗位分离且不混岗;
③ 禁止在系统运行的机器上做与工作无关的操作;
④ 不越权运行程序,不查阅无关参数;
⑤ 当系统出现操作异常时应立即报告;
⑥ 建立和完善工程技术人员的管理制度;
⑦ 当相关人员调离时,应采取相应的安全管理措施。如人员调离的时马上收回钥匙、移交工作、更换口令、取消账号,并向被调离的工作人员申明其保密义务。
5) 机房安全管理规章制度。建立健全的机房管理规章制度,经常对有关人员进行安全教育与培训,定期或随机地进行安全检查。机房管理规章制度主要包括:机房门卫管理、机房安全工作、机房卫生工作、机房操作管理等。
6)其他的重要管理制度。主要包括:系统软件与应用软件管理制度、数据管理制度、密码口令管理制度、网络通信安全管理制度、病毒的防治管理制度、实行安全等级保护制度、实行网络电子公告系统的用户登记和信息管理制度、对外交流维护管理制度等。
7)风险分析及安全培训
① 定期进行风险分析,制定意外灾难应急恢复计划和方案。如关键技术人员的多种联络方法、备份数据的取得、系统重建的组织。
② 建立安全考核培训制度。除了应当对关键岗位的人员和新员工进行考核之外,还要定期进行计算机安全方面的法律教育、职业道德教育和计算机安全技术更新等方面的教育培训。
对于从事涉及国家安全、军事机密、财政金融或人事档案等重要信息的工作人员更要重视安全教育,并应挑选可靠素质好的人员担任。
3.坚持合作交流制度
计算机网络在快速发展中,面临严峻的安全问题。维护互联网安全是全球的共识和责任,网络运营商更负有重要责任,应对此高度关注,发挥互联网积极、正面的作用,包括对青少年在内的广大用户负责。各级政府也有责任为企业和消费者创造一个共享、安全的网络环境,同时也需要行业组织、企业和各利益相关方的共同努力。因此,应当大力加强与相关业务往来单位和安全机构的合作与交流,密切配合共同维护网络安全,及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作,拓宽网络安全国际合作渠道,建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。
拓展阅读:网络安全技术及应用(第2版)机械工业出版社 贾铁军主编 上海优秀教材奖
内网安全就是内部局域网的信息防泄密和终端安全管理。很多的涉密单位,省委机要网,政府机关单位,还有研发型企业,军工单位对信息防泄密的需求都是相当的高的,他们为了防止内部机密信息的泄露为了有效的避免由于泄密而带来的巨大损失,都在急切的寻找一个能够帮助他们很好的保证这些信息不被泄密出去的有力工具,这也是做内网安全的一个必要性所在。随着社会的不断发展,信息化程度越来越高,企业和单位对网络和终端的依赖性很强,对于那些终端数量多的,管理人员就那么几个,管理人员就会力不从心疲于应付,常常会出现管理不得力的情况,这样对于整个公司或企业的运行都是很不利的,所以他们很需要一个能够帮助他们来统一管理公司内部局域网的终端,这样的需求现在也很迫切,这是做内网安全的第二个必要性。而在理论上要做到内网安全必须要做到:身份认证,授权管理,监控审计,数据保密这四个方面,不过在不同的单位需求的侧重点不同。